お客様各位
株式会社ネットワークバリューコンポネンツ
FSAにおけるAPIエンドポイント経由のOSコマンドインジェクション脆弱性[FG-IR-26-100]
平素より弊社サービスをご利用いただき、誠にありがとうございます。
Fortinet社より、共通脆弱性評価システム(CVSS)のスコアがクリティカルレベルの脆弱性に関し公開されましたので、
ご案内いたします。
■概要
FortiSandbox に存在する、OS コマンドで使⽤される特殊⽂字の不適切なエスケープ処理に関する脆弱性 [CWE-78]
により、認証されていない攻撃者が、細⼯された HTTP リクエストを介して、許可されていないコードやコマンドを
実⾏できる可能性があります。
※なお、FG-IR-26-100の内容につきましては、Fortinet社により適宜アップデートされることがございます。
■対象製品と影響Version、対策済みVersion
対象製品 影響を受けるVersion 対策済みVersion
FortiSandbox 4.4 4.4.0~4.4.8 4.4.9またはそれ以上
FortiSandbox 5.0 影響はありません。 対応は不要です。
■回避策
対策済みのOSにVersionUPして下さい。
■詳細情報
本件に関する詳細は、Fortinet社の公式発表をご確認下さい。
[Fortinet PSIRT Advisory FG-IR-26-100] https://fortiguard.fortinet.com/psirt/FG-IR-26-100
■お問い合わせについて
ご不明点がございましたら、以下までお問い合わせ下さい。
※有効な契約のあるシリアル番号をご記載下さい。
NVCカスタマーサポート nvc-tac@nvc.co.jp (弊社営業日9:00~17:00)